Aktéři stojící za RomCom RAT byli podezřelí z phishingových útoků zaměřených na nadcházející summit NATO ve Vilniusu a také na identifikovanou organizaci podporující Ukrajinu v zahraničí.
Zjištění pocházejí od týmu BlackBerry Threat Research and Intelligence, který našel dva škodlivé dokumenty odeslané z maďarské IP adresy 4. července 2023.
RomCom, sledovaný také pod jmény Tropical Scorpius, UNC2596 a Void Rabisu, byl nedávno pozorován při provádění kybernetických útoků proti politikům na Ukrajině, kteří úzce spolupracují se západními zeměmi a zdravotnickou organizací se sídlem v USA, která se podílí na pomoci uprchlíkům prchajícím z válkou zničené země.
Útočné řetězce sestavené skupinou jsou geopoliticky motivované a využívají e-maily typu spear-phishing, aby nasměrovaly oběti na klonované webové stránky hostující trojanizované verze populárního softwaru. Mezi cíle patří armády, potravinářské dodavatelské řetězce a IT společnosti.
Nejnovější návnady identifikované společností BlackBerry se vydávají za ukrajinský Světový kongres, legitimní neziskovou organizaci (“Overview_of_UWCs_UkraineInNATO_campaign.docx”) a obsahují falešný dopis deklarující podporu začlenění Ukrajiny do NATO (“Letter_NATO_Summit_Vilnius_2023_ENG”(1).
“Ačkoli jsme dosud neodhalili prvotní vektor infekce, aktér hrozby pravděpodobně spoléhal na techniky spear-phishingu a zapojil své oběti, aby klikly na speciálně vytvořenou repliku webové stránky Světového kongresu Ukrajiny,” uvedla kanadská společnost ve zveřejněné analýze.
Otevření souboru spustí sofistikovanou spouštěcí sekvenci, která zahrnuje načítání mezilehlých datových částí ze vzdáleného serveru, který zase využívá Follina (CVE-2022-30190), nyní opravenou bezpečnostní chybu ovlivňující nástroj Microsoft Support Diagnostic Tool (MSDT), k dosažení vzdáleného spuštění kódu.
Výsledkem je nasazení RomCom RAT, spustitelného souboru napsaného v C++, který je navržen tak, aby shromažďoval informace o napadeném systému a ovládal jej na dálku.
“Na základě povahy nadcházejícího summitu NATO a souvisejících návnadových dokumentů rozeslaných aktérem hrozby jsou zamýšlenými oběťmi zástupci Ukrajiny, zahraničních organizací a jednotlivci podporující Ukrajinu,” uvedl BlackBerry.
“Na základě dostupných informací máme střední až vysokou důvěru k závěru, že se jedná o operaci přejmenovanou na RomCom, nebo že za touto novou kampaní na podporu nové skupiny hrozeb stojí jeden nebo více členů skupiny hrozeb RomCom.”
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
